Azure AD - 令牌中缺少角色声明

Posted 2023-03-04

【中文标题】Azure AD - 令牌中缺少角色声明

【英文标题】：Azure AD - missing roles claim in the token

【发布时间】：2020-02-13 07:25:56

【问题描述】：

我已经通过 Azure Active Directory (AAD) 设置了身份验证，并且一切正常（我收到了访问和刷新令牌）。

我已阅读有关应用程序角色的信息并且我想使用它们（为简单起见，假设我想要拥有管理员和用户角色）。我遵循了官方文档（缺少最后一部分..）here。

很遗憾，令牌不包含“角色”声明。

这里是我的更详细的设置：

1) 我有一个名为 TestAuthApp 的 Azure AD 应用程序，并且我在清单中添加了角色

2) 我分配了角色

3) 这是登录网址： https://login.microsoftonline.com/3926f5f4-ca60-46de-b9f8-72639d55232d/oauth2/authorize?client_id=fea5d169-5535-4a8c-ba61-bcb0b25129dd&response_type=code&redirect_uri=http%3A%2F%2Flocalhost%3A1338%2Fauth

4) 这是处理身份验证代码并接收令牌的 node.js 代码

5）的令牌用于测试乔（当检查它在jwt.io你看到的角色，根据权利要求不存在返回的访问实施例）eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImFQY3R3X29kdlJPb0VOZzNWb09sSWgydGlFcyIsImtpZCI6ImFQY3R3X29kdlJPb0VOZzNWb09sSWgydGlFcyJ9.eyJhdWQiOiIwMDAwMDAwMi0wMDAwLTAwMDAtYzAwMC0wMDAwMDAwMDAwMDAiLCJpc3MiOiJodHRwczovL3N0cy53aW5kb3dzLm5ldC8zOTI2ZjVmNC1jYTYwLTQ2ZGUtYjlmOC03MjYzOWQ1NTIzMmQvIiwiaWF0IjoxNTcxMjMxNjQwLCJuYmYiOjE1NzEyMzE2NDAsImV4cCI6MTU3MTIzNTU0MCwiYWNyIjoiMSIsImFpbyI6IjQyVmdZT0F5czRzdGFOclB0MFNtWUNOZllxamtuczNMcnpYLzhacTY1NjRXaTBuVXdwMEEiLCJhbXIiOlsicHdkIl0sImFwcGlkIjoiZmVhNWQxNjktNTUzNS00YThjLWJhNjEtYmNiMGIyNTEyOWRkIiwiYXBwaWRhY3IiOiIxIiwiaXBhZGRyIjoiOTQuMjMwLjE1MC40IiwibmFtZSI6IlRlc3QgSm9lIiwib2lkIjoiZDU3YjZlNjAtNzVhMC00ODM4LTllYmMtZWM1MzRkYjAyMTM0IiwicHVpZCI6IjEwMDMyMDAwNDhGOEMwNEQiLCJzY3AiOiJVc2VyLlJlYWQiLCJzdWIiOiJURllOclNGT01EcU5kRnBaY25YeGdoRm1GR2IteHFZN3Y2bDh6R1lhRGg4IiwidGVuYW50X3JlZ2lvbl9zY29wZSI6Ik5BIiwidGlkIjoiMzkyNmY1ZjQtY2E2MC00NmRlLWI5ZjgtNzI 2MzlkNTUyMzJkIiwidW5pcXVlX25hbWUiOiJ0ZXN0am9lQHNlY3VyaXR5cG9jMTIzNC5vbm1pY3Jvc29mdC5jb20iLCJ1cG4iOiJ0ZXN0am9lQHNlY3VyaXR5cG9jMTIzNC5vbm1pY3Jvc29mdC5jb20iLCJ1dGkiOiJHQUJCYy1TaTBVbXZMMzVBRXk4V0FBIiwidmVyIjoiMS4wIn0.Z8gydgRzEqk9dZ_fxt67iZMwVqu708WrZWJf3_9ydgc9cV0HizECxXxeNuws6EtiQhLxnguOVYKq7s5R2V4AlquAnc75YaMn0mWhZXGEtuVT6T6tldy5GgrbDpJy9eU5Ismo5ppfkcGRkUoJ0lScHeXic1gQ_M_k44e-QXJtMMxr6JdPA9jqixuCMK-84TdbYC1RlJYM47PJfYttWoibI29XsoUU-0ucwcCB8hshZfQRU48LrTlCwmtB-p9rim6E7xLmBxaXMBo99N9AizGJj9jV-rr_bPGXpq8_CQsiF07cKJ51SWe8dbMpCwybKYVVoMc3rsazylKcJzxDp1rD4A P>

【参考方案1】：

令牌是不适合您的应用的访问令牌。您要查找的角色应该在 id 令牌中。

之所以这么说是因为受众是00000002-0000-0000-c000-000000000000，这是一个内置的API（虽然不记得是哪个）。

【讨论】：

这正是问题所在，我没有检查 id_token，谢谢 :)

根据本文档，角色也可以在访问令牌docs.microsoft.com/en-us/azure/active-directory/develop/…

是的，但前提是访问令牌所针对的应用程序要求包含它们。

@juunas 要求的声明名称是什么？我似乎无法让我的访问令牌中包含的“角色”声明为此苦苦挣扎了好几天。它们确实会在我的 id_token 中弹出，但不会在我的访问令牌中弹出。有什么提示吗？

感谢@juunas 的回答，我无法访问令牌中的角色。感谢您的回答，我意识到我没有在请求参数（client_id、grant_type 等）中分配资源，因此默认情况下资源为 00000002-0000-0000-c000-000000000000。在参数中添加资源为我解决了这个问题。